我想要:
例如:虽然AWS EC2帐户有10个实例,但是新用户UserA可以启动或停止InstanceA,但不能在帐户上执行任何其他操作(不启动实例,也不会执行卷操作等)。
是否有一个简单的方法让单个用户完全访问这样的单个资源,但是不能访问其他任何东西?
EC2实例没有“Amazon资源名称”(ARN),因此您无法编写IAM策略以允许用户访问单个实例。
如果我可以build议另一种方法。 处理这种types的请求最简单的方法可能是让用户通过SSH访问实例,并允许他们使用希望他们能够执行的命令(如重启)。
编辑:忘了提到有一个很好的AWS策略生成器在线工具是非常有用的。 http://awspolicygen.s3.amazonaws.com/policygen.html
实际上,EC2实例确实有一个ARN。 EC2内的每个资源都有一个ARN。 一个实例ARN的例子如下:
阿尔恩:AWS:EC2:区域:账号:实例/实例ID
您可以授予特定用户对特定实例ID的访问权限。 您可以包含允许用户运行的操作。
有关资源和操作以及条件,请参阅http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html#ec2-supported-iam-actions-resources 。